Quickstartبداية سريعة

Go from "no account" to "first scoped engagement" in under 10 minutes. This walkthrough is for company owners. من «بدون حساب» إلى «أول اختبار» في أقل من 10 دقائق. هذا الدليل لمالكي الشركات.

1 · Create your accountأنشئ حسابك

Go to reliant.sa/register and fill out the company-owner form. You'll register the company and the owning user at the same time. اذهب إلى reliant.sa/register واملأ نموذج مالك الشركة. سيتم تسجيل الشركة والمستخدم المالك في نفس الوقت.

Registration formنموذج التسجيل

2 · Verify your emailأكّد بريدك الإلكتروني

You'll receive a 6-digit OTP. Enter it in the verify-OTP screen. If your platform admin is configured for manual approval, you'll then enter a brief "Under review" state before logging in for the first time. ستصلك OTP من 6 أرقام. أدخلها في شاشة التحقق. إذا كان المسؤول قد فعّل وضع المراجعة اليدوية، ستدخل في حالة «قيد المراجعة» قبل أول دخول.

3 · Define a programعرّف برنامجاً

A program is one scoped pentest engagement. Open the dashboard, click New program, and fill in the scope, type, and lowest accepted severity (LEES). الـ برنامج هو اختبار اختراق واحد بنطاق محدد. افتح لوحة التحكم، اضغط برنامج جديد، واملأ النطاق والنوع وأدنى خطورة مقبولة (LEES).

Live engagement preview (on the homepage)عرض الاختبار المباشر (في الصفحة الرئيسية)

4 · Wait for triageانتظر الفرز

The Reliant admin team reviews your program, assigns pentesters, and sends you the engagement contract. This usually happens within 24 hours. فريق إدارة ريلاينت يراجع برنامجك، يُعيّن المختبرين، ويرسل لك عقد الاختبار. عادةً يحدث هذا خلال 24 ساعة.

5 · Review findings as they arriveراجع النتائج فور وصولها

Findings appear in your Reports page as pentesters submit them. Each finding has a CVSS score, evidence (screenshots/video), reproduction steps, and a suggested remediation. تظهر النتائج في صفحة التقارير فور إرسالها من المختبرين. كل نتيجة لها درجة CVSS، أدلة (صور/فيديو)، خطوات إعادة الإنتاج، وإصلاح مقترح.

Public reports pageصفحة التقارير العامة

Core conceptsالمفاهيم الأساسية

Four words you'll see on every page: program, finding, retest, and engagement. Internalize these and the rest of the platform clicks into place. أربع كلمات ستراها في كل صفحة: برنامج، نتيجة، إعادة اختبار، واختبار. افهمها وستفهم بقية المنصة.

Programالبرنامج

A program is a single scoped engagement: one target, one time window, one team of pentesters. A company can have many programs; each program belongs to exactly one company. الـ برنامج هو اختبار واحد بنطاق محدد: هدف واحد، نافذة زمنية واحدة، فريق واحد من المختبرين. الشركة يمكن أن تملك عدة برامج؛ كل برنامج يخص شركة واحدة فقط.

Finding (vulnerability)النتيجة (الثغرة)

A finding is one discovered vulnerability inside a program. It has a CVSS v3.1 score, severity, status (submitted → triaged → confirmed → fixed → retest → closed), and rich metadata. الـ نتيجة هي ثغرة مكتشفة داخل برنامج. لها درجة CVSS v3.1، خطورة، حالة (مُقدّمة ← مفروزة ← مؤكدة ← مُصلحة ← قيد إعادة الاختبار ← مغلقة)، وبيانات تفصيلية غنية.

Retestإعادة الاختبار

A retest is a verification cycle: company says "we fixed it"; pentester reproduces the original PoC and either confirms FIXED or marks NOT FIXED with new evidence. Retests are free during the engagement period and billed separately afterwards. إعادة الاختبار هي دورة تحقق: الشركة تقول «أصلحناها»؛ المختبر يعيد إنتاج الـ PoC الأصلي ويؤكد FIXED أو يضع NOT FIXED مع أدلة جديدة. إعادة الاختبار مجانية خلال فترة الاختبار وتُفوتر منفصلة بعدها.

Engagementالـ Engagement

An engagement = a program + the contract + the assigned pentesters + the time window. The terms "program" and "engagement" are often used interchangeably in the UI; the database row is a Program record. الـ engagement = برنامج + عقد + المختبرين المعينين + النافذة الزمنية. كلمتا «برنامج» و«engagement» تُستخدمان بالتبادل في الواجهة؛ في قاعدة البيانات الصف هو Program.

Architecture overviewنظرة عامة على البنية

How the pieces fit together. Useful for security teams reviewing the platform, and for integrators using the API. كيف تتركّب الأجزاء. مفيد لفرق الأمان التي تراجع المنصة وللمطوّرين الذين يستخدمون الـ API.

Tech stackالمنصة التقنية

• Frontend: React 18, Vite, Wouter routing, Radix UI, Tailwind CSSReact 18 و Vite و Wouter و Radix UI و Tailwind CSS
• Backend: Laravel 11, PHP 8.3, Sanctum auth tokens, Eloquent ORMLaravel 11 و PHP 8.3 و Sanctum و Eloquent ORM
• Database: MySQL 8.0
• Mail: Postfix + queue worker (no third-party SMTP)Postfix + معالج طابور (بدون SMTP خارجي)
• Hosting: Saudi-located VPS, full ownershipخادم في السعودية، ملكية كاملة

Data residencyموقع البيانات

Onboarding your teamتهيئة فريقك

After you (the owner) create the company, you can invite teammates. Each teammate gets one role — pick carefully. بعد أن تنشئ الشركة (بصفتك المالك)، يمكنك دعوة زملائك. كل زميل يحصل على دور واحد — اختر بعناية.

Two team rolesدوران للفريق

Inviting a teammateدعوة زميل

1. Open Settings → Team.افتح الإعدادات ← الفريق.
2. Click Invite member.اضغط دعوة عضو.
3. Enter their email, first/last name, and pick a role.أدخل البريد الإلكتروني والاسم الأول والأخير واختر الدور.
4. They receive an email with an invitation link valid for 7 days.سيستلمون بريداً برابط دعوة صالح لمدة 7 أيام.

Request a new engagementاطلب اختباراً جديداً

An engagement is a single scoped pentest. Start with a clear scope and the lowest severity you want reported — this keeps noise out of your inbox. الـ engagement هو اختبار اختراق واحد بنطاق محدد. ابدأ بنطاق واضح وأدنى خطورة تريد إبلاغها — هذا يُبعد الضوضاء عن صندوقك.

1 · Define scopeحدّد النطاق

The scope is the set of assets (domains, APIs, mobile apps, infrastructure) the pentesters are allowed to attack. Anything not in scope is off-limits. النطاق هو مجموعة الأصول (نطاقات، APIs، تطبيقات جوال، بنية تحتية) المسموح للمختبرين بمهاجمتها. أي شيء خارج النطاق ممنوع.

# Good scope examples
app.acme.sa                  // production web app
api.acme.sa/v2/*             // v2 API only
*.staging.acme.sa            // all staging subdomains
com.acme.mobile (Android)    // Android app package

# Out of scope
*.acme.com                   // avoid wildcards across TLDs
acme-vendor.com              // 3rd-party hosted

Reliant services overviewنظرة عامة على خدمات ريلاينت

2 · Pick engagement typeاختر نوع الاختبار

3 · Set LEES (lowest accepted severity)حدد LEES (أدنى خطورة مقبولة)

LEES filters which findings reach you. Set it to Medium and you'll only see Medium/High/Critical findings; informational and low-severity items are filed but won't ping you. LEES يُصفّي النتائج التي تصلك. ضعها على Medium وستراها فقط Medium/High/Critical؛ النتائج الإعلامية والمنخفضة ستُحفظ بدون تنبيه.

Reading reportsقراءة التقارير

Each finding follows the same shape. Once you read 2-3, the rest are easy to scan. كل نتيجة لها نفس الهيكل. بعد قراءة 2-3 تصبح البقية سهلة المسح.

Vulnerability submission form (public)نموذج الإبلاغ عن ثغرة (عام)

Fields explainedشرح الحقول

• Description — what the vulnerability is, in plain prose.ما الثغرة، بلغة بسيطة.
• Reproduction steps — exact commands or click-paths to reproduce.الأوامر أو خطوات النقر الدقيقة لإعادة الإنتاج.
• Impact — business consequence if left unpatched.التأثير على العمل إذا تُركت بدون إصلاح.
• Remediation — concrete fix, often with code snippet.إصلاح ملموس، غالباً مع مقتطف كود.
• Evidence — screenshots, videos, payloads.صور، فيديوهات، payloads.
• CVSS — 0.0–10.0 score; see Severity & CVSS.درجة 0.0–10.0؛ راجع الخطورة و CVSS.

The Bug Bounty pageصفحة برنامج المكافآت

For ongoing programs, Reliant exposes a public Bug Bounty Program page where independent researchers can submit reports. The page lists rewards, in/out-of-scope assets, and rules. للبرامج المستمرة، تعرض ريلاينت صفحة برنامج المكافآت العامة حيث يمكن للباحثين المستقلين تقديم تقارير. تعرض الصفحة المكافآت والأصول داخل/خارج النطاق والقواعد.

Bug Bounty Program pageصفحة برنامج المكافآت

Requesting retestsطلب إعادة الاختبار

When you've shipped a fix, request a retest. A pentester (usually the one who reported it) re-runs the PoC and marks the finding fixed or reopened. عندما تنشر إصلاحاً، اطلب إعادة اختبار. مختبر (عادةً من قدّم النتيجة) يعيد تشغيل الـ PoC ويُعلّم النتيجة كمُصلحة أو يعيد فتحها.

How to requestكيف تطلب

1. Open the finding from Reports.افتح النتيجة من التقارير.
2. Click Request retest. The finding's status moves confirmed → retest.اضغط طلب إعادة اختبار. تنتقل الحالة confirmed → retest.
3. Optionally write a note explaining what changed (commit hash, deployment date).اختياري: اكتب ملاحظة تشرح ما تغير (commit hash، تاريخ النشر).
4. The assigned pentester is notified and will run the verification within their SLA.يتم إشعار المختبر المعين وسيُجري التحقق ضمن SLA الخاص به.

Batch retestsإعادة اختبار مجمّعة

Multi-select findings in the Reports list and request retests in bulk. Each finding gets its own retest record — they don't merge. اختر عدة نتائج من قائمة التقارير واطلب إعادة الاختبار دفعةً واحدة. كل نتيجة تحصل على سجل إعادة اختبار منفصل — لا تُدمج.

Billing & invoicesالفواتير والدفع

One program = one invoice. VAT (15%) is included. Payment is by bank transfer with proof upload. برنامج واحد = فاتورة واحدة. ضريبة القيمة المضافة 15% مشمولة. الدفع عبر التحويل البنكي مع رفع الإيصال.

The billing flowمسار الفواتير

Uploading payment proofرفع إيصال الدفع

1. Open Billing, pick the invoice.افتح الفواتير، اختر الفاتورة.
2. Click Upload payment proof.اضغط رفع إيصال الدفع.
3. Attach a PDF or screenshot of the transfer (max 5 MB).أرفق PDF أو صورة من التحويل (الحد الأقصى 5 ميجا).
4. An admin reviews and approves within 1 business day. Status → paid.يراجع الأدمن ويعتمد خلال يوم عمل واحد. الحالة → paid.

API referenceمرجع الـ API

Base URL: https://api.reliant.sa/api/v1. All endpoints require a Sanctum bearer token in the Authorization header. الـ Base URL: https://api.reliant.sa/api/v1. كل النقاط تتطلب رمز Sanctum bearer في رأس Authorization.

Authenticationالمصادقة

POST to /login with email + password to get a token. Send it with every subsequent call. أرسل POST إلى /login ببريد + كلمة مرور للحصول على token. أرسله مع كل استدعاء لاحق.

# Login
curl -X POST https://api.reliant.sa/api/v1/login \
  -H "Content-Type: application/json" \
  -d '{"email":"you@acme.sa","password":"...","device_name":"cli"}'

# Response
{
  "success": true,
  "data": {
    "token": "123|aBcDeF...",
    "user": { /* user record */ }
  }
}

# Use token
curl https://api.reliant.sa/api/v1/programs \
  -H "Authorization: Bearer 123|aBcDeF..."

Common endpointsأهم النقاط

Programs

Findings

Comments

Error responsesاستجابات الخطأ

All errors follow the same shape. Status codes match HTTP semantics. كل الأخطاء بنفس الشكل. أكواد الحالة تتبع معاني HTTP.

{
  "success": false,
  "message": "You are not authorized to view this program."
}

Severity & CVSSالخطورة و CVSS

Reliant uses CVSS v3.1. Every finding gets both a numeric score (0.0–10.0) and one of five named severities. ريلاينت تستخدم CVSS v3.1. كل نتيجة تحصل على درجة رقمية (0.0–10.0) واحدة من خمس خطورات مسماة.

The CVSS vectorمتجه الـ CVSS

Every finding stores a CVSS vector string. Example:كل نتيجة تخزن متجه CVSS كنص. مثال:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H  → 9.8 Critical

• AV — Attack Vector (Network / Adjacent / Local / Physical)متجه الهجوم
• AC — Attack Complexity (Low / High)تعقيد الهجوم
• PR — Privileges Required (None / Low / High)الصلاحيات المطلوبة
• UI — User Interaction (None / Required)تفاعل المستخدم
• C / I / A — Confidentiality / Integrity / Availability impactالسرية / السلامة / التوفر

Calculatorالحاسبة

Use the official calculator at first.org/cvss/calculator/3.1. استخدم الحاسبة الرسمية في first.org/cvss/calculator/3.1.

Security modelنموذج الأمان

How Reliant protects sensitive engagement data. Most of this matters most to your CISO during procurement. كيف تحمي ريلاينت بيانات الاختبارات الحساسة. هذا الجزء مهم لمسؤول الأمن في الشركة عند الشراء.

Authenticationالمصادقة

Sign-in screenشاشة الدخول

• Password: bcrypt-hashed, minimum 8 chars with complexity rules.كلمة المرور: bcrypt مع 8 أحرف كحد أدنى وقواعد تعقيد.
• Email OTP at registration and (optionally) on every login.OTP بالبريد عند التسجيل و(اختياري) عند كل دخول.
• Sanctum bearer tokens — one per device, revocable.رموز Sanctum — واحد لكل جهاز، قابلة للإلغاء.
• Brute-force throttling at the route level.تحديد محاولات القوة الغاشمة على مستوى المسار.
• No password reset by phone or social — email-only.لا إعادة تعيين كلمة مرور عبر الجوال أو وسائل التواصل — بريد فقط.

Authorizationالتفويض

• Role-based: company, Manager, Employee, pentester, admin, super-admin.قائم على الأدوار.
• Every model has a company_id / pentester_id scope check on read and write.كل نموذج له فحص نطاق على القراءة والكتابة.
• Cross-tenant access returns 403 with a generic message — no enumeration.الوصول بين المستأجرين يعيد 403 برسالة عامة — لا تعداد.

Transport & headersالنقل والرؤوس

• TLS 1.2/1.3 only. HSTS with 1-year max-age and includeSubDomains.HSTS لمدة سنة مع includeSubDomains.
• Strict Content-Security-Policy on the frontend.
• X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin.

Storage & data handlingالتخزين والبيانات

• Database encrypted at rest (LUKS).قاعدة بيانات مشفّرة وقت السكون (LUKS).
• Evidence files isolated per finding UUID — no directory traversal possible.ملفات الأدلة معزولة لكل UUID — لا اجتياز مجلدات ممكن.
• Soft-deletes everywhere; nothing is purged for 90 days.حذف ناعم في كل مكان؛ لا شيء يُمحى نهائياً قبل 90 يوماً.
• PII redaction in audit logs.إخفاء الـ PII في سجلات التدقيق.

Responsible disclosureالكشف المسؤول

Found a vuln in the platform itself? Email security@reliant.sa. وجدت ثغرة في المنصة نفسها؟ راسل security@reliant.sa.

Frequently asked questionsالأسئلة الشائعة

How long does triage take?كم تستغرق عملية الفرز؟

For most findings, under 24 hours on business days. Critical findings get same-day triage.لمعظم النتائج، أقل من 24 ساعة في أيام العمل. النتائج الحرجة تُفرز في نفس اليوم.

Can I have more than one program at a time?هل يمكنني تشغيل أكثر من برنامج في نفس الوقت؟

Yes. Companies regularly run web-app + mobile + infra in parallel. Each program has its own scope, contract, and invoice.نعم. الشركات عادةً تشغّل web + mobile + infra بالتوازي. كل برنامج له نطاق وعقد وفاتورة خاصة.

Who picks the pentesters?من يختار المختبرين؟

Reliant admins assign certified pentesters based on engagement type and pentester specialty. You can request specific pentesters in your scope notes.أدمن ريلاينت يعينون مختبرين معتمدين بناءً على نوع الاختبار وتخصص المختبر. يمكنك طلب مختبرين محددين في ملاحظات النطاق.

What if the company never deploys a fix?ماذا لو لم تنشر الشركة الإصلاح أبداً؟

The finding stays in confirmed indefinitely. After 12 months of inactivity it auto-archives. Pentester gets paid at confirmation, not at fix-time.تبقى النتيجة في confirmed بلا حدّ زمني. بعد 12 شهراً من الخمول تُؤرشف. المختبر يُدفع له عند التأكيد لا عند الإصلاح.

Reporting a vuln in Reliant itselfالإبلاغ عن ثغرة في ريلاينت نفسها

Send a private email to security@reliant.sa with PoC + steps. Public disclosure before our fix violates the Pentester Code of Conduct.أرسل بريداً خاصاً إلى security@reliant.sa مع PoC + خطوات. الإفصاح العلني قبل الإصلاح يخالف ميثاق سلوك المختبر.

Can a company drop a pentester mid-engagement?هل يمكن للشركة استبعاد مختبر أثناء الاختبار؟

Only Reliant admins can change pentester assignments. If you have a serious issue with a pentester's conduct, email support.فقط أدمن ريلاينت يمكنه تغيير التعيينات. إذا كان لديك مشكلة جدية في سلوك مختبر، راسل الدعم.

Getting helpالحصول على المساعدة

Pick the channel that matches your urgency. اختر القناة المناسبة لمدى استعجالك.

Office hoursساعات العمل

Sunday – Thursday, 9:00 – 18:00 KSA time. Outside hours: critical-only via the in-app chat. الأحد – الخميس، 9:00 – 18:00 بتوقيت المملكة. خارج هذه الأوقات: الحالات الحرجة فقط عبر محادثة التطبيق.